La nuova generazione di attacchi cyber sfrutta orchestrazione AI e supply chain, esponendo aziende a furti invisibili di dati sensibili ed email.
Autore: Redazione SecurityOpenLab
È di fatto operativa la nuova categoria di attacchi cyber basati sull’orchestrazione AI. Il fenomeno, che si era intravisto nei laboratori di ricerca, è passato dalla teorizzazione all’applicazione concreta in pochissimo tempo. Tecnicamente si parla di AI-powered orchestration e identifica un tipo di attacchi in cui la componente automatica e interpretativa dell’Intelligenza Artificiale assume il ruolo di regista dell’intera fase offensiva. La differenza, rispetto agli attacchi tradizionali automatizzati, risiede nella capacità di adattamento, di esecuzione sequenziale e di supervisione a più livelli di strumenti, operata da agenti AI multilivello.
Si tratta pertanto di veri e propri framework che leggono e interpretano le intenzioni dell’attaccante, le traducono in una pipeline suddivisa in fasi e ne aggregano i risultati in fasi consecutive di scansione, exploitation, esfiltrazione dati e persistenza, tramite logiche evolutive.
Poco tempo fa SecurityOpenLab ha analizzato il caso HexStrike-AI evidenziato dai ricercatori di Check Point Research e relativo allo sfruttamento di tre falle zero-day critiche a carico di Citrix NetScaler ADC e Gateway. Non era un caso isolato, tanto che oggi si parla dell’applicazione di una tecnica AI-powered orchestration in un attacco alla supply chain software documentato dai ricercatori di Koi Security, che hanno osservato quello che sembra essere il primo caso di server Model Context Protocol (MCP) dannoso rilevato in ambiente reale.
Questo nuovo caso rappresenta un salto evolutivo nell’arsenale delle minacce, perché dimostra come la logica di orchestrazione AI possa essere innestata direttamente nella supply chain software, puntando all’infrastruttura stessa dello sviluppo e della gestione dei workflow automatizzati in ambito enterprise.
A metà settembre 2025 un ricercatore di Koi Security ha individuato su npm la pubblicazione del pacchetto postmark-mcp a cura dell’autore phanpak. Apparentemente si trattava di una libreria praticamente identica a quella ufficiale Postmark MCP, che fornisce API sperimentali progettate per integrare Postmark con agenti e tool AI quali per esempio Claude Desktop o Cursor. Queste API permettono di gestire e controllare operazioni email all’interno di pipeline e workflow automatizzati, governati da AI tramite comandi in linguaggio naturale.
L’inganno era sottile ma critico: a partire dalla versione 1.0.16, il pacchetto introduceva una singola riga di codice capace di esfiltrare in modo silente la totalità delle email lavorate tramite la piattaforma MCP verso l’indirizzo phan@giftshop[.]club. In sostanza, si trattava di una backdoor che si attivava senza alcuna interazione, sfruttando i privilegi operativi della pipeline in cui era inserita e con la certezza che, in ambienti dove la supply chain agentica viene spesso aggiornata in modo automatico, il livello di fiducia accordato a una libreria apparentemente legittima fosse elevatissimo.
Il dato più allarmante è che il pacchetto malevolo è stato scaricato oltre 1.600 volte prima che scattasse l’allarme e che venisse rimosso. Secondo più fonti, sono state molte le aziende di diverse dimensioni a cui sono stati sottratti i dati di intere caselle email, incluse conversazioni confidenziali e dati strategici, password temporanee, notifiche di pagamenti, informazioni sensibili sugli utenti.
L’attacco è emblematico: l’attaccante sfrutta la presenza strutturale degli agenti AI all’interno dei workflow moderni, in cui orchestratori e pipeline agent-based operano con ampi privilegi e possono interfacciarsi sia con sistemi di posta che con database e API di terze parti. La singola riga di codice inserita nel pacchetto npm può moltiplicare su larga scala la sottrazione di dati senza generare allarmi nei sistemi tradizionali di monitoring. Inoltre, la natura AI-native della pipeline complica la detection: i dati sono aggregati, lavorati e poi inoltrati come normali flussi di lavoro automatizzati. Di fatto, la backdoor risultava invisibile anche agli strumenti SIEM classici, se non esplicitamente configurati sulla detection anomaly-based. Questo di fatto costituisce un paradosso di pipeline automatizzate e AI-native che diventano vettori d’attacco proprio grazie alla fiducia e all’automazione spinta.
Questo modello di attacco segna una svolta significativa rispetto al passato perché, fino a pochi mesi fa, la compromissione della supply chain era spesso associata a tecniche complesse di code injection, social engineering o attacchi mirati su piattaforme di sviluppo condivise. Il caso postmark-mcp invece sfrutta la semplificazione degli strumenti agent-based, l’adozione di orchestratori AI e la crescente tendenza al riuso di librerie e workflow open source. È sufficiente la pubblicazione di un pacchetto che appare perfetto nella forma e solo apparentemente trasparente nel codice, affinché il processo agentico ne moltiplichi l’impatto a ogni automatismo attivato nelle aziende che lo adottano.
I parallelismi fra il caso Postmark-MCP e HexStrike-AI sono evidenti. In entrambi i casi l’AI viene trasformata in un amplificatore esponenziale della minaccia. Al posto dei cicli manuali degli attacchi tradizionali si sostituiscono pipeline completamente astratte, in grado di adattarsi al contesto, coordinare più tool di attacco, adattare la strategia in presenza di errori o problemi e proseguire in modo autonomo fino a ottenere persistenza, esfiltrazione, sabotaggio o furto di asset digitali.
Le implicazioni per la difesa sono profonde perché significa che le supply chain digitali, specialmente quelle che abilitano pipeline agentiche AI-native, richiedono un cambio di prospettiva che si sgancia dall’approccio tradizionale di validare preventivamente le librerie open source, non monitorare in tempo reale i processi automatizzati, e altro. Al contrario, incombe l’esigenza di integrare modelli di risposta adattiva su orchestratori AI, con un occhio sempre più attento alle possibili deviazioni comportamentali, anche minime, delle pipeline di automazione.